Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Blade Servers Version 2.2

151

152

153

154

155

156

157

158

159

160

如果问题仍然存在，请配置 Active Directory 设置，更改用户配置并重新运行检测，直到检测用户通过授权步骤。



我启用了证书验证，但我的 Active Directory 登录失败了。我从 GUI 运行诊断，检测结果显示以下错误信息。问题是什么以及如何

修复？

ERROR: Can't contact LDAP server, error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the

correct Certificate Authority (CA) certificate has been uploaded to iDRAC.（错误：不能联系 LDAP 服务器，错误：14090086：SSL 例程：

SSL3_GET_SERVER_CERTIFICATE：证书验证失败：请检查正确的认证机构 (CA) 证书是否已上载到 iDRAC。）另请检查 iDRAC 日期是否在证书有效期内，且 iDRAC 中配置的

域控制器地址是否与目录服务器证书的主题相符。

如果启用证书验证，则 iDRAC6 在与目录服务器建立 SSL 连接时会使用上载的 CA 证书验证目录服务器证书。证书验证失败的最常见原因是：

l iDRAC6 日期不在服务器证书或 CA 证书的有效期内。检查 iDRAC6 时间和证书的有效期。

l iDRAC6 中配置的域控制器地址与目录服务器证书的主题或主题备用名称不相符。

¡ 如果您使用 IP 地址，请参阅"我使用域控制器地址的 IP 地址且不能通过证书验证。是什么问题？"。

¡ 如果您使用 FQDN，请保证您使用域控制器的 FQDN 而不是域本身。例如，使用 servername.example.com，而不是 example.com。



如果不能使用 Active Directory 登录到 iDRAC6，应检查什么？

首先用检测设置功能诊断问题。有关说明，请参阅"我的 Active Directory 登录失败。我应该怎么做？"。

然后，解决检测结果所指明的具体问题。有关详情，请参阅"检测配置"。

本节解释最常见的问题。但一般来说，您应检查如下内容：



1. 确保在登录期间使用正确的用户域名，而不是 NetBIOS 名称。



2. 如果具有本地 iDRAC6 用户帐户，请使用本地凭据登录 iDRAC6。

a. 确保在"Step 2 of 4 Active Directory Configuration and Management"（Active Directory 配置与管理第 2 步，共 4 步）页中选中"Active Directory

Enabled"（启用 Active Directory）复选框。

b. 如果已启用证书验证，确保已将正确的 Active Directory 根 CA 证书上载到 iDRAC6。此证书在"Current Active Directory CA Certificate"（当前 Active

Directory CA 证书）区域中显示。确保 iDRAC6 时间在 CA 证书的有效期内。

c. 如果使用扩展架构，则确保 iDRAC6 名称和 iDRAC6 域名与 Active Directory 环境配置相符。

如果使用标准架构，则确保组名称和组域与 Active Directory 配置相符。

d. 导航至"Network"（网络）屏幕。选择"System"（系统）® "Remote Access"（远程访问）® iDRAC6 ® "Network/Security"（网络/安全性）

® "Network"（网络）。

确保 DNS 设置正确。

e. 检查域控制器 SSL 证书以确保 iDRAC6 时间在证书的有效期内。



Active Directory 证书验证



我使用域控制器地址的 IP 地址且不能通过证书验证。是什么问题？

检查域控制器证书的"Subject"（主题）或"Subject Alternative Name"（主题备用名称）字段。通常 Active Directory 在域控制器证书的"Subject"（主题）或"Subject Alternative

Name"（主题备用名称）字段使用域控制器的主机名而不是 IP 地址。您可通过以下措施解决此问题：

l 在 iDRAC6 上将域控制器的主机名 (FQDN) 配置为

域控制器地址

，以与服务器证书的主题或主题备用名称相符。

l 重新签发服务器证书，使用在"Subject"（主题）或"Subject Alternative Name"（主题备用名称）字段中的 IP 地址，以便与 iDRAC6 中配置的 IP 地址相符。

l 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书，请禁用证书验证。



为什么 iDRAC6 默认启用证书验证？

iDRAC6 执行严格的安全策略以确保其所连接域控制器的身份。如果不验证证书，黑客可欺骗域控制器和劫持 SSL 连接。如果您选择信任您安全边界内的所有域控制器而无需验证证书，您

可通过 GUI 或 CLI 将其禁用。



扩展架构和标准架构

